Audit de sécurité WordPress
Un audit de sécurité de votre installation WordPress
Un audit de sécurité de votre site ou de votre parc de sites peut être planifié de façon ponctuelle en one-shot ou bien de manière régulière, généralement annuellement.
Les objectifs de l’audit de sécurité sont les suivants :
- Vérifier le niveau de conformité actuel du site par rapport à une grille d’une centaine de critères
- Identifier les points d’amélioration et les prioriser
- Donner une estimation du temps nécessaire pour adresser ces points
Lors d’un audit de sécurité, nous analysons l’ensemble de votre installation WordPress : cœur du CMS, extensions, thèmes, architecture, configuration serveur, réglages du CMS, structure des répertoires, téléversements, développements spécifiques réalisés sur le site…
Nous utilisons les outils les plus pointus du marché pour analyser votre site. Outre les outils d’analyse de thèmes et d’extensions développés par les équipes Theme & Plugin Review de WordPress.org, nous disposons en tant que Core Committer et membre de la Security Team de WordPress des jeux de tests de sécurité utilisés par les équipes de développement du CMS.
En plus de ces outils nous pouvons mener des « pentests » (tests d’intrusion) sur votre installation, généralement conduits en mode « white box » ou « grey box », c’est à dire en disposant d’un niveau d’accès total ou partiel à l’installation WordPress concernée.
Les livrables de l’audit de sécurité de votre site WordPress
Que l’audit de sécurité soit effectué de façon ponctuelle, à fréquence annuelle ou même trimestrielle, celui-ci comporte au minimum 4 livrables à forte valeur ajoutée pour votre site.
Un audit d’évaluation en plus de 120 critères
Audit détaillé thématique par thématique
Une liste de points d’amélioration
Une liste exhaustive des critères avec conformité et priorisation
Un chiffrage
Estimation en taille de tee-shirt (S/M/L/XL) de la criticité et de la complexité des points à améliorer
Une réunion de restitution
Restitution en visioconférence
Tarification des audits de sécurité proposé par Whodunit Consulting
Les tarifs de cette prestation d’audit de sécurité WordPress dépendent du périmètre à auditer : nombre de sites à auditer, multisite ou site simple, quantité de thèmes et d’extensions sur-mesure à auditer.
Notre contribution à la sécurité de l’écosystème WordPress
Nous remontons régulièrement des failles de sécurité trouvées sur des extensions afin qu’elles puissent être corrigées par leur auteur. Cela nous a par exemple valu l’obtention d’un bug bounty pour la correction de failles trouvées sur l’extension Yoast en 2020.
Depuis 2 ans, Jean-Baptiste fait partie de l’équipe de sécurité de WordPress. Son rôle est de prendre connaissance des remontées confidentielles de failles de sécurité, de vérifier les correctifs proposés et de les intégrer au cœur du CMS lors de la sortie des versions de sécurité.
Nous avons fait partie de l’équipe de direction de plus de 20 versions de WordPress dont une dizaine de mises à jour de sécurité.
Nous faisons ainsi partie de l’équipe qui travaille de manière confidentielle sur la correction des failles de sécurité trouvées sur le cœur du CMS et qui planifie les mises à jour de sécurité. Nous travaillons également sur la mise au point des tests unitaires de sécurité confidentiels utilisés par WordPress (Security Unit Test Suite).
Cette activité de contribution est d’ailleurs un atout indéniable pour nos clients en maintenance puisque nous savons exactement quand sont planifiées ces versions de sécurité, ce qui nous permet donc de les anticiper en amont de leur sortie.
Notre équipe de direction technique a par ailleurs passé la formation SecNum de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Témoignage client
Groupe Adecco
Nos références en audit de sécurité
Systra
- audit annuel de sécurité.
Groupe Lamy
- audit de sécurité d’un parc de sites WordPress.
Et plus de 250 audits de sites WordPress déjà réalisés depuis 2016
Dans le cadre de notre activité de maintenance préventive, nous réalisons en outre des centaines de vérifications de sécurité par an sur notre parc de sites en tierce maintenance applicative (TMA).
